カード番号と暗証番号が芋づる式に…「マイナンバー」が日本に引き起こす大混乱

スマホにマイナンバーカードの機能を搭載する動きが、政府主導で進められている。だがそこにはセキュリティ上の問題が山積している。何かが起こった時、いったい誰が責任を取り、損失を補填してくれるのか。前編〈スマホをマイナンバーカードに…アップルが警戒、政府主導の計画に潜む「ヤバいリスク」〉から続けて詳述する。

政府は責任を取らない

もし、マイナンバー機能を搭載したiPhoneがサイドローディングを利用し手入手したアプリ経由でマルウェア感染し、その結果個人情報が外部に漏れたら、誰が責任をとるのでしょうか。

デジタル庁の「マイナポータル利用規約」を見ると、第26条に「免責事項」として、「マイナポータルの利用に当たり、利用者本人又は第三者が被った損害について、デジタル庁の故意又は重過失によるものである場合を除き、デジタル庁は責任を負わないものとします」とあります。

昨年までは「一切の責任を負わない」となっていましたのですが、「政府のサービスなのに無責任だ」と批判を浴びで「デジタル庁の故意又は重過失によるものである場合を除き」という文言が付け加えられました。

「一切責任を負わない」よりは一歩前進したかに見えますが、ただ、これでは責任の所在がはっきりしないと、プライバシー問題に詳しい東京弁護士会の水永誠二弁護士は言います。

「故意とは、わざとということ。重過失というのも、単なる過失ではなく著しく注意が欠如とした過失ということで故意に近く、よほどのことでないと責任を問えません。しかも、どこまでが重過失なのかという判断は、誰がするのでしょうか」（水永氏）

つまり、政府がわざとそれを見過ごしたなどという、ほぼあり得ない「重過失」でもない限り、先のような事故が起きた場合、アップルの過失ということにされてしまうかもしれないということ。

もちろんこれは個人的な推察ではありますが、今までの政府の対応を見ていると、アップルが日本政府に対して信頼感を持てないのも仕方ないのではないでしょうか。

カード番号と暗証番号が芋づる式に…

実は、マイナンバーカードによって引き起こされるトラブルについて、現在の混乱は、まだ序の口だと指摘する人もいます。

匿名を条件にシステムエンジニアの方に、これからマイナンバーカードで起きそうな重大なトラブルについて聞きました。

「政府はマイナンバーカードで、当初に法律で決まっていた税・社会保障・災害の3分野だけでなく、利用分野をどんどん広げていこうとしています。

利用分野を広げれば広げるほど、なりすましやハッキングの危険性は高くなります。今の日本のモデルでは、カードと暗証番号があればすべての個人情報を芋づる式に引き出すことができるからです」

日本の番号制度は、表のような「セパレートモデル」「フラットモデル」「セントラルモデル」と分類されている中の「フラットモデル」。行政分野をまたいだ情報連携が可能なので利便性が高い反面、１つの番号で芋づる式に個人情報が引き出せるという弱点があるといいます。
  

出典・アクセンチュア（株）「諸外国における共通番号制度を活用した 行政手続の調査研究 より」

一方、ドイツやフランスなど個人情報の管理が厳しい国では、各行政分野で別々の異なる番号が使われる「セパレートモデル」になっています。

面倒ではありますが、個人情報が芋づる式に引き出されないという点で、「フラットモデル」よりも情報漏洩のリスクが低く、プライバシーを守りやすく、被害も「フラットモデル」に比べる低く抑えられているようです。

アメリカでは社会問題に

「フラットモデル」だと、侵入さえできれば様々な情報が芋づる式に引き出せるので、実際にアメリカでは、他人の社会保障番号を入手した人が、その社会保障番号の所有者になりすまして銀行預金を引き出したり、クレジットカードを使用したりする詐欺被害が多発しています。

アメリカでは、’06年から’08年までの３年間で、このなりすましによる被害者は約1170万人にのぼります。また、被害総額は日本円にして年間およそ2兆円。途方もない金額になっています。

そのため、アメリカでは、社会保障番号が利用できる分野を制限しようとする動きが始まっています。

韓国でも、利用範囲を拡大してくる中で、住民登録番号が盗まれ本人になりすましてシステムに侵入する事件が多発していて、そのため、当初よりも利用範囲を限定し、法律が認めた場合を除いて民間事業者による住民登録番号の収集が禁止されるに至りました。

いっぽう日本はどうかといえば、当初は利用範囲が税、社会保障、災害の3分野に限定されていましたが、これを法改正して、様々なところに使えるように利用範囲を広げようとしているのです。

日本のマイナンバーカードは、落とし穴の所在がわからないハイウェイ。

今、日本政府がやろうとしているのは、情報の新しいハイウェイをつくり、全員にそこを走らせようとしているのに似ていると私は思っています。

複数の道路をつくるよりも、一本のハイウェイでどこにでも行けたら、確かに効率もいいし、道に迷うこともなくなるので快適なドライブができそうな気がします。

制度の穴を埋めるのは「税金」

けれど、あまりに拙速に工事を進めたために、そのハイウェイにはいくつもの落とし穴があり、運が悪ければ、その落とし穴に落ちてしまう。

どこに落とし穴があるかわからないのに、全員にそこを走らせようとしているのですから、このやり方に異論が出てくるのは当然でしょう。

特に健康保険制度については、「健康保険証」という普通道路もさえも無くし、全員に政府のつくった落とし穴だらけのハイウェイを走ることを義務化しようというのですから、無茶な話です。

しかも日本では、急ごしらえのハイウェイを、急いで伸ばすだけ伸ばそうとしています。

そのハイウェイを走り、どこにあるかわからない危険な落とし穴にはまったら政府が責任を持って補償してくれるのかといえば、そうなってはいない。穴に落ちたのは、道路建設の発注先のミスであり、走る人の自己責任ということになっています。

デジタル化は悪いことばかりではないことは私も理解しています。新たなシステム導入時にはトラブルも起こることもあることも理解できます。ですが、今の政府のマイナンバー関連事業の進め方はあまりにも拙速すぎ。トラブルが後を絶たないのも準備不足が原因なのは明らかです。

しかも、トラブルが発覚する度に莫大なお金をかけて点検やシステムの補修を繰り返していたのではお金がいくらあっても足りません。もちろんのその全ては私たちの払った税金だということを忘れてはいけません。

少なくとも事故が起きたときの責任の所在を明確にするべき。なんの落ち度がもない国民や民間企業につけを回すことだけはご免です。